Οδηγός ρύθμισης Iptables (Firewall)

[ftso]

Και το PC τρέχει αρκετά πράγματα , κυρίως Vuze πρώην Azureus , που με αυτά που λέτε θα έπρεπε να ανοίξει πόρτες που είναι αυτές και δεν τις βλέπω .

Φυσικά και θα έπρεπε να είναι ανοιχτές εφόσον τρέχεις κάτι.
Εσύ όμως είσαι πίσω απο NAT και δεν έχεις κάνει port forwarding σε αυτές, άρα κόβονται.

[baker]

κοβονται μονο στο port scan, γιατι αν κοβονταν τελειως δεν θα δουλευαν και οι υπηρεσιες του, απλα μαλλον το ρουτερ αφηνει να περασουν τα πακετα απο και προς τις υπηρεσιες αφου εμεις του το ζητησαμε και οχι καποιος απο "εξω"

[ftso]

κοβονται μονο στο port scan, γιατι αν κοβονταν τελειως δεν θα δουλευαν και οι υπηρεσιες του

Προφανώς αυτές που παίζουν έχουν γίνει forward.

Ο μόνος τρόπος για να κάνεις σωστά scan είναι απο ένα pc που είναι στο ίδιο δίκτυο με εσένα και στην ενδιάμεση σύνδεση δεν υπάρχει τίποτα πάνω από το 4ο επίπεδο του TCP/IP που να επηρεάζει τα αποτελέσματα.
Ένα παράδειγμα-> pc1 - απλό switch - pc2

[grimm]

@baker
Μήπως χρησιμοποιείς UPnP στο router σου και στους clients σου;
Πιο συγκεκριμένα UPnP NAT traversal;

[baker]

@grimm
με πιάνεις αδιάβαστο για το UPnP, στις default ρυθμίσεις του Deluge που χρησιμοποιώ είναι διαλεγμένο, στο router όμως που έψαξα δεν βρήκα σχετική ρύθμιση

[linuxman]

Και το PC τρέχει αρκετά πράγματα , κυρίως Vuze πρώην Azureus , που με αυτά που λέτε θα έπρεπε να ανοίξει πόρτες που είναι αυτές και δεν τις βλέπω

Και αφού δεν ανοίγουν οι πόρτες όπως υποστηρίζεις, πως είναι δυνατόν να κάνεις upload στο Vuze? πως συνδεονται στο pc σου άλλοι χρηστες; δεν είναι λογικό αυτο που λες! εστω οτι το vuze ειναι ρυθμισμένο στην port 6000, αν με το iptables κλεισεις την κίνηση μέσα και έξω σε αυτήν την port, το vuze δεν πρόκειται να δουλέψει! που σημαίνει οτι πριν ήταν ανοικτή!

Πολύ καλά συνδέονται μία χαρά το κάνει , και δεν έχω κάνει πότες καμία ρύθμιση με πόρτες εκεί που αναφέρω για τα αποτελέσματα .
Κάνει σχεδόν πάντα upload και δεν έχει πρόβλημα κανένα .
Πολύ λογικό και πόρτες που βάζω είναι από 65235-65245 χωρίς να έχω κάνει κάτι με Iptables (Firewall) στο δικό μου PC πάντως .
Τα αποτελέσματα από το scan τα βλέπεις ποιο πάνω , έτσι το έχω από την εποχή του 6.06 .

Ωραία, τότε αυτά που γράφει εδώ: https://help.ubuntu.com/community/IptablesHowTo

Iptables is a firewall, installed by default on all official Ubuntu distributions (Ubuntu, Kubuntu, Xubuntu). When you install Ubuntu, iptables is there, but it allows all traffic by default.

Τι σημαίνει αυτό το κομμάτι; Και ιδιαίτερα αυτό:

When you install Ubuntu, iptables is there, but it allows all traffic by default.

Είναι IptablesHowTo οδηγός πως καλό είναι να το κάνεις , και καλό είναι σαν οδηγός , άλλα για πες μου

Ας μου το εξηγήσει κάποιος...

Και τότε αυτό τι είναι https://wiki.ubuntu.com/ZeroConfPolicySpec no-open-ports (by default) policy .

Και το PC τρέχει αρκετά πράγματα , κυρίως Vuze πρώην Azureus , που με αυτά που λέτε θα έπρεπε να ανοίξει πόρτες που είναι αυτές και δεν τις βλέπω .

Φυσικά και θα έπρεπε να είναι ανοιχτές εφόσον τρέχεις κάτι.
Εσύ όμως είσαι πίσω απο NAT και δεν έχεις κάνει port forwarding σε αυτές, άρα κόβονται.

Και εγώ σου λέω ότι δεν έχω κάνει τίποτα και δεν κόβεται τίποτα απολύτως , έλα για καφέ και θα το δεις με τα μάτια σου .
@ftso βλέπεις τα αποτελέσματα , δεν βγάζεις άκρη η δεν εξήγησα καλά τι είναι ?
Το scan το έχω κάνει από το δίκτυο τις Forthnet από έξω δηλαδή .
Εκτός από το 22 όλα τα άλλα από την αρχή είναι κλειστές , έχω δώσει αποτελέσματα και από εσωτερικό και από εξωτερικό scan και όπως βλέπετε είναι μία χαρά, και γιατί εξάλλου να πω κάτι που δεν έχω δοκιμάσει μία χαρά κατεβάζει και έχει και άψογο ανέβασμα/κατέβασμα .

[baker]

@linuxman
δοκίμασε κατι άλλο, κάνε forward από το router ολες τις ports των υπηρεσιών που χρησιμοποιείς vuze, ssh, msn ξερω γω; όλες, στο ip που έχει το pc σου στο lan... απενεργοποίησε και το firewall του router και ξανακάνε scan απ έξω..
αφού λοιπόν όπως λες το ubuntu τις έχουν όλες κλειστές απο default, το scan δε θα δείξει τίποτα...
εσυ τι λες; θα δείξει καμιά port ανοικτη?

[linuxman]

@linuxman
δοκίμασε κατι άλλο, κάνε forward από το router ολες τις ports των υπηρεσιών που χρησιμοποιείς vuze, ssh, msn ξερω γω; όλες, στο ip που έχει το pc σου στο lan... απενεργοποίησε και το firewall του router και ξανακάνε scan απ έξω..
αφού λοιπόν όπως λες το ubuntu τις έχουν όλες κλειστές απο default, το scan δε θα δείξει τίποτα...
εσυ τι λες; θα δείξει καμιά port ανοικτη?

Για το Η/Υ που έχω αναφέρει είναι δίκτυο ΠΑΜΑΚ http://www.uom.gr και αυτός ήτανε ο λόγος που αναφέρω και τα αποτελέσματα όλα πριν , με ένα ρούτερ στο σπίτι μας ναι πρέπει να ανοίξουμε τις πόρτες άλλα όχι στο σύστημα όπως και ανέφερα πριν .

[baker]

ειναι διαφορετικό πράγμα το να κανουμε port forward στο ip μας απο το να ανοίξουμε ports στο pc μας...
αυτό που θελω να πω είναι, πως όσα forward και να κάνεις προς το pc σου, αν το pc σου ειναι ρυθμισμενο να μην περνά τιποτα, δεν θα περάσει τίποτα...
για να καταλάβεις:
δεχόμαστε ότι ubuntu server 6.04 όλες οι ports κλειστές απο default, ubuntu 9.04 ολες ανοικτές...
θες να κανεις σύνδεση ssh απ'έξω στο pc σου, στο 604 εκτος απο forward την 22 στο ip σου θα χρειαστει να πεις στο firewall του ubuntu (iptables) να ανοίξει την 22... Στο 9.04 ομως το μόνο που θα χρειαστείς είναι το forward στου router, διοτι στο 9.04 ΟΛΕΣ ΟΙ PORTS ΕΙΝΑΙ ΑΝΟΙΚΤΕΣ ΑΠΟ DEFAULT, με άλλα λογια η μόνη προστασία που έχεις είναι το router!!!

[bullgr]

ειναι διαφορετικό πράγμα το να κανουμε port forward στο ip μας απο το να ανοίξουμε ports στο pc μας...
αυτό που θελω να πω είναι, πως όσα forward και να κάνεις προς το pc σου, αν το pc σου ειναι ρυθμισμενο να μην περνά τιποτα, δεν θα περάσει τίποτα...
για να καταλάβεις:
δεχόμαστε ότι ubuntu server 6.04 όλες οι ports κλειστές απο default, ubuntu 9.04 ολες ανοικτές...
θες να κανεις σύνδεση ssh απ'έξω στο pc σου, στο 604 εκτος απο forward την 22 στο ip σου θα χρειαστει να πεις στο firewall του ubuntu (iptables) να ανοίξει την 22... Στο 9.04 ομως το μόνο που θα χρειαστείς είναι το forward στου router, διοτι στο 9.04 ΟΛΕΣ ΟΙ PORTS ΕΙΝΑΙ ΑΝΟΙΚΤΕΣ ΑΠΟ DEFAULT, με άλλα λογια η μόνη προστασία που έχεις είναι το router!!!

Σωστά...

Και τότε αυτό τι είναι https://wiki.ubuntu.com/ZeroConfPolicySpec no-open-ports (by default) policy .

linuxman τα έχεις μπερδέψει... Η αναφορά στο παραπάνω link που αναφέρεις γράφτηκε στις:

Created: 2006-06-03 by Rob Caskey

Τότε στη έκδοση ubuntu που υπήρχε όλες οι πόρτες ήταν κλειστές από default... Τώρα (από την 8.04 και μετά) όλες οι πόρτες από default είναι ανοιχτές... Άρα λογικό είναι να σου τρέχουν τα πάντα (torrents κλπ) χωρίς να κάνεις τίποτα... Αλλά η μόνη ασφάλεια που έχεις στη δική σου περίπτωση είναι το firewall router που έχεις.

Τον οδηγό μου δεν τον δοκίμασες ποτέ, γιατί ξέρω ότι από την αρχή ήσουν κατά αυτής της λύσης... Εγώ όμως που το έχω δουλέψει μπορώ να σου επιβεβαιώσω πως όταν ρύθμισα το iptables με τον συγκεκριμένο οδηγό και χρειαζόμουν να τρέξω torrent, οι πόρτες που χρειαζόντουσαν ήταν κλειστές (πχ 6881). Μόλις έκλεινα το iptables (sudo /etc/init.d/iptables stop) το torrent λειτουργούσε... Μόλις άνοιγα το iptables (sudo /etc/init.d/iptables start) το torrent δεν λειτουργούσε γιατί δεν είχε ανοιχτή την πόρτα που ήθελε. Μόλις πρόσθεσα τον κανόνα για torrent (δες την πρώτη σελίδα με τον οδηγό) όλα ήταν εντάξει...

Το αν χρειάζεται αυτός ο οδηγός και η ρύθμιση των iptables είναι ζήτημα φιλοσοφικό... Εάν έχεις firewall router τότε δεν χρειάζεται να κάνεις τίποτα... Εάν δεν τρέχεις τίποτα σοβαρές υπηρεσίες (web, ssh, ftp) πάλι δεν τον χρειάζεσαι... Απλώς δείτε τον ως έναν οδηγό εκμάθησης στο πως ρυθμίζουμε το iptables... Καλό είναι ένας καλός geek linux user να το γνωρίζει... Και ποτέ δεν ξέρεις εάν σου χρειαστεί ποτέ...

Μην ξεχνάτε ότι ανέφερα πως ο οδηγός γράφτηκε από σημειώσεις που είχα όταν έστηνα ubuntu server 6.06... Σε αυτή τη έκδοση όπως προείπα, οι πόρτες από default ήταν κλειστές και δεν περνούσε τίποτα... Άρα η ρύθμιση των iptables ήταν επιτακτική... Στην πορεία όμως με πρόλαβαν οι εξελίξεις και ο οδηγός έχει πλέον περισσότερο φιλοσοφικό χαρακτήρα...

Υπάρχουν όμως και κατηγορίες ανθρώπων που έχουν τρέλα με την ασφάλεια... Θέλουν εκτός του firewall router και ένα ακόμη "κάστρο" πριν κατακτηθεί το σύστημα από τον επίδοξο χάκερ... Ένας από αυτούς που έχουν τρέλα με την ασφάλεια είμαι και εγώ... Γι' αυτό σκέφτηκα ότι παρ' όλο που δεν είναι απαραίτητη πλέον η ρύθμιση των iptables, καλό είναι να μοιραστώ τις γνώσεις/εμπειρίες μου σε αυτό το θέμα μαζί σας...